Guía gratuíta «Fundamental Computer Investigation Guide For Windows»

Interesante documento el que proporciona Microsoft con el fin de definir unas pautas de investigación forense en máquinas Windows. Y digo interesante, porque es un documento bien labrado, con el que cualquier usuario con nociones mínimas de funcionamiento de una estación Windows podrá aprender muchas cosas sobre el análisis de la misma. Además, considero interesante el documento para que cualquier peticionario de un servicio de análisis forense sepa qué debería recibir a cambio, y cuáles son los contenidos que un informe de incidentes en plataformas Microsoft debería contener. Ni qué decir tiene que los investigadores de este tipo de plataformas hallarán un marco documentado y procedimentado para poder suministrar sus servicios de una manera trazable y procedimentada.

El gran hándicap de un informe forense es siempre el mismo. Cada informe es de su padre y de su madre, ya que es frecuente que cada cual redacte los trabajos según considere oportuno. Esto está muy bien, pero claro, luego llega la hora de usar estos informes en un proceso judicial, y la mayoría de los trabajos hacen aguas o quedan invalidados por no haber seguido un procedimiento adecuado, o simplemente porque son informes que no estaban orientados a soportar un proceso judicial. Yo soy el primero que ha tardado en comprender ésto, motivo por el cual aconsejo firmemente que estos documentos, cuyas implicaciones legales pueden ser bastante importantes, se hagan acorde a un procedimiento estandarizado que cumpla con las expectativas legales del fuero en el que se haya cometido el presunto incidente a investigar. En otras palabras: un análisis forense que se pretenda utilizar en una causa judicial, y que haya sido redactado sin tener en cuenta que después será utilizado como prueba, es papel mojado.

windows forensics

El documento hace uso de las herramientas de Russinovich, las Windows Sysinternals, que han de ser valoradas como lo que realmente son: probablemente, las mejores herramientas para analizar a bajo nivel un sistema Windows en funcionamiento. En cuanto al marco legal, no es un documento que profundice mucho en estos aspectos, pero lo poco que toca está enfocado a la jurisdicción norteamericana:

This guide is intended for IT professionals in the United States who need a general understanding of computer investigations, including many of the procedures that can be used in such investigations and protocols for reporting incidents.

Por motivos que derivan de la diametral diferencia entre una arquitectura Windows si la comparamos con una arquitectura derivada de UNIX, este tipo de guías se hace indispensable para los que, acreditando experiencia en otros entornos, tienen la necesidad de conducir un análisis forense en una plataforma Microsoft (en funcionamiento, lógicamente, un análisis offline se hará siempre desde fuera del sistema).

Por lo poco que he podido ojear, la descarga proporciona, además de la guía, tres documentos ejemplo bastante interesantes, y que rara vez acompañan a un análisis forense:

  1. Un Sample – Internal Investigation Report, en el que se ejemplifica la manera adecuada de documentar un informe de incidencias interno.
  2. Un Worksheet – Chain of Custody Log , en el que se especifica un registro sobre la cadena de custodia de las evidencias recolectadas.
  3. Un Worksheet – Impact Analysis, para tipificar un análisis de impacto del incidente a investigar.

Como curiosidad, la guía contiene el siguiente copyleft (sí, habéis leído bien, copyleft)

© 2007 Microsoft Corporation. This work is licensed under the Creative Commons Attribution-NonCommercial License. To view a copy of this license, visit http://creativecommons.org/licenses/by-nc/2.5/ or send a letter to Creative Commons, 543 Howard Street, 5th Floor, San Francisco, California, 94105, USA.

Podéis descargar la guía empleando el enlace Get the Fundamental Computer Investigation Guide For Windows.

Hoy no queda más remedio que quitarse el sombrero. Hay que reconocer que además de generar un documento útil, han acertado de pleno escogiendo la licencia, que permite la generación de obras derivadas sin intención comercial. Buen trabajo.